预定义ISDB

本文主要介绍如何将预定义的ISDB条目应用到防火墙策略中。

配置步骤

ISDB是一系列IP、协议、端口号的集合,所以配置后进行测试时,请使用ISDB中包含的协议、端口号进行测试,并不是只匹配到目标IP就会匹配到相关的ISDB。
  1. 通过Web方式访问防火墙的管理页面,进入“策略&对象→防火墙策略”页面,新建防火墙策略。

  2. 配置流入接口和源地址,在“目标地址”选项中选择“Internet服务”,搜索“baidu”,选择“Baidu-Web”到目标地址中(该ISDB包含了所有百度的Web页面资源),动作选择“拒绝”,开启“记录拒绝流量”。

    image-20230419162200429

    image-20230419164756204

    config firewall policy
        edit 8
            set name "Deny_Baidu_Web"
            set srcintf "lan"
            set dstintf "wan1"
            set srcaddr "all"
            set internet-service enable
            set internet-service-name "Baidu-Web"
            set schedule "always"
            set logtraffic all
        next
    end
    
  3. 将该条策略移动至上网策略之前。

    image-20230419162429747

  4. 使用“diagnose internet-service id 65646”可以看到该ISDB的详细信息,“diagnose internet-service id-summary 65646”可以看到该ISDB的简要信息。

    diagnose internet-service id 65646
    diagnose internet-service id-summary 65646
    

结果验证

  1. 使用内网PC经过FortiGate访问网页https://www.baidu.com ,无法打开页面。

    image-20230419165112821

  2. 查看防火墙的流量日志,可以看到客户端访问https://www.baidu.com 的流量被阻断,目标ISDB识别正确。

    image-20230419163943228

  3. 由于策略中引用的ISDB Baidu-Web不包含ICMP服务,所以客户端仍然可以Ping通www.baidu.com 。

    image-20230419164119984

Copyright © 2024 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇
该页面修订于: 2023-09-12 15:24:08

results matching ""

    No results matching ""